11 razones principales por las que los sitios de WordPress son pirateados (y cómo prevenirlo)

Recientemente, uno de nuestros lectores nos preguntó por qué se piratean los sitios de WordPress. Es frustrante descubrir que su sitio de WordPress ha sido pirateado. En este artículo, compartiremos las principales razones por las que su sitio de WordPress es pirateado, para que pueda evitar estos errores y proteger su sitio.

¿Por qué WordPress está siendo atacado por piratas informáticos?

Primero, no es solo WordPress. Todos los sitios web de Internet son vulnerables a los intentos de piratería.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Impulsa más del 31% de todos los sitios web, que son cientos de millones de sitios web en todo el mundo.

Esta inmensa popularidad ofrece a los piratas informáticos una forma fácil de encontrar sitios web menos seguros para poder explotarlos.

Los piratas informáticos tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a aprovechar los sitios menos seguros.

Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las principales causas de la piratería de sitios web de WordPress y cómo evitar que su sitio web sea pirateado.

1. Alojamiento web inseguro

Como todos los sitios web, los sitios de WordPress están alojados en un servidor web. Algunas empresas de alojamiento no protegen adecuadamente su plataforma de alojamiento. Esto hace que todos los sitios web alojados en sus servidores sean vulnerables a los intentos de piratería.

Esto puede evitarse fácilmente eligiendo el mejor proveedor de alojamiento de WordPress para su sitio web. Asegúrese de que su sitio esté alojado en una plataforma segura. Los servidores debidamente protegidos pueden bloquear muchos de los ataques más comunes en los sitios de WordPress.

Si desea tener mucho cuidado, le recomendamos que utilice un proveedor de alojamiento de WordPress administrado.

2. Uso de contraseñas débiles

Usar contraseñas débiles

Las contraseñas son las claves de su sitio de WordPress. Debe asegurarse de estar utilizando una contraseña segura única para cada una de las siguientes cuentas, ya que todas ellas pueden brindarle a un pirata informático acceso completo a su sitio web.

  • Su cuenta de administrador de WordPress
  • Cuenta del panel de control de alojamiento web
  • Cuenta FTP
  • Base de datos MySQL utilizada para su sitio de WordPress
  • Cuentas de correo electrónico utilizadas para la cuenta de administración o alojamiento de WordPress

Todas estas cuentas están protegidas con contraseña. El uso de contraseñas débiles facilita a los piratas informáticos descifrar contraseñas utilizando algunas herramientas básicas de piratería.

Puede evitarlo fácilmente utilizando contraseñas únicas y complejas para cada cuenta. Consulte nuestra guía sobre la mejor manera de administrar contraseñas para principiantes de WordPress para aprender a administrar todas esas contraseñas complejas.

3. Inicio de sesión de administrador de WordPress no seguro (directorio wp-admin)

El área de administración de WordPress le da a un usuario acceso para realizar varias acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para piratear su sitio web. Puede dificultarlos agregando niveles de autenticación al directorio de administración de WordPress.

Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa adicional de seguridad y cualquier persona que intente iniciar sesión en el administrador de WordPress deberá proporcionar una contraseña adicional.

Si ejecuta un sitio de WordPress de varios autores o usuarios, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos iniciar sesión en su área de administración de WordPress.

4. Permisos de archivo incorrectos

Permisos de archivo

Los permisos de archivo son un conjunto de reglas que utiliza su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un pirata informático para escribir y modificar estos archivos.

Todos sus archivos de WordPress deben tener el valor 644 como permiso de archivo. Todas las carpetas de su sitio de WordPress deben tener 755 permisos de archivo.

Consulte nuestra guía sobre cómo solucionar el problema de carga de imágenes en WordPress para descubrir cómo aplicar estos permisos a los archivos.

5. WordPress no se actualiza

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que al hacerlo se estropee su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, está dejando su sitio vulnerable intencionalmente.

Si le preocupa que una actualización pueda dañar su sitio web, puede crear una copia de seguridad completa de WordPress antes de realizar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

6. No se actualiza ningún plugin o tema.

Al igual que el software principal de WordPress, la actualización del tema y los plugins es igualmente importante. El uso de un plugin o tema desactualizado puede hacer que su sitio sea vulnerable.

Los errores y los agujeros de seguridad a menudo se descubren en los plugins y temas de WordPress. Por lo general, los autores de temas y plugins se apresuran a solucionarlos. Sin embargo, si un usuario no actualiza su tema o plugin, no puede hacer nada al respecto.

Asegúrese de mantener actualizados los plugins y el tema de WordPress.

7. Usar FTP normal en lugar de SFTP / SSH

SFTP en lugar de FTP

Las cuentas FTP se utilizan para cargar archivos al servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse mediante un simple FTP, SFTP o SSH.

Cuando se conecta a su sitio mediante un simple FTP, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No necesitará cambiar su cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web a través de SFTP y SSH. Solo necesita cambiar el protocolo a "SFTP - SSH" cuando se conecte a su sitio web.

8. Usar el administrador como nombre de usuario de WordPress

No se recomienda utilizar "admin" como su nombre de usuario de WordPress. Si el nombre de usuario de administrador es admin, debe cambiarlo a un nombre de usuario diferente inmediatamente.

Para obtener instrucciones detalladas, consulte nuestro tutorial sobre cómo cambiar su nombre de usuario de WordPress.

9. Temas y plugins cancelados

Software malicioso

Hay muchos sitios web en Internet que distribuyen plugins y temas de WordPress pagados de forma gratuita. A veces es fácil tener la tentación de usar esos plugins y temas cancelados en su sitio.

Descargar temas y plugins de WordPress de fuentes no confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden utilizarse para robar información confidencial.

Siempre debe descargar los plugins y temas de WordPress de fuentes confiables, como el sitio web o repositorio oficial de desarrolladores de plugins / temas de WordPress.

Si no puede pagar o no quiere comprar un plugin o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos plugins gratuitos no sean tan buenos como sus contrapartes pagadas, pero harán su trabajo y, lo más importante, mantendrán su sitio web seguro.

También puede encontrar descuentos para muchos de los productos populares de WordPress en la sección de ofertas de nuestro sitio web.

10. No proteja el archivo wp-config.php de configuración de WordPress

El archivo de configuración de WordPress wp-config.php contiene las credenciales de inicio de sesión de la base de datos de WordPress. Si se ve comprometido, revelará información que podría dar a un pirata informático acceso completo a su sitio web.

Puede agregar una capa adicional de protección al denegar el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

<files wp-config.php>
order allow,deny
deny from all
</files>

11. No cambie el prefijo de la tabla de WordPress

Muchos expertos recomiendan cambiar el prefijo predeterminado de la tabla de WordPress. Por defecto, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación.

Es aconsejable utilizar un prefijo un poco más complicado. Esto dificultará que los piratas informáticos adivinen los nombres de las tablas de la base de datos.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo cambiar el prefijo de su base de datos de WordPress para mejorar la seguridad.

Limpiar un sitio de WordPress pirateado

Limpiar un sitio WordPress pirateado puede ser realmente doloroso. Sin embargo, se puede hacer.

Aquí hay algunos recursos para comenzar a limpiar un sitio de WordPress pirateado:

Consejo de bonificación

Para una seguridad sólida, usamos Sucuri en todos nuestros sitios de WordPress. Sucuri proporciona servicios de detección y eliminación de malware, así como un firewall de sitios web que protegerá su sitio web de las amenazas más comunes.

Vea cómo Sucuri nos ayudó a detener 450.000 ataques de WordPress en 3 meses

Esperamos que este artículo le haya ayudado a comprender las principales razones por las que el sitio de WordPress es pirateado. Es posible que también desee ver nuestra guía de seguridad de WordPress definitiva para proteger su sitio de WordPress.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir